“柯南”病毒.(Trojan-PSW.Win32.QQRob)

时间:2008-02-27 10:36:05   来源:孤独更可靠  作者:  点击:次  出处:技术无忧
关键字:

谢 谢 收 藏http://pc51.net/weixiujishu/1000side-rj/2008-02-26/a10159.html

其实这是之前Rose病毒的一个新变种,大多数杀软都能识别。


文件名称:sxs.exe

文件大小:40663 byte

AV命名:

卡巴斯基:Trojan-PSW.Win32.QQRob

瑞星:Worm.Pabug.l

加壳方式:Hmimys-Packer+Aspack

编写语言:Delphi

文件MD5:5aa93a60fcc9865fa2a60d9e73f2e373


行为分析:

1、释放文件:

C:\WINDOWS\system32\SVOHOST.exe 40663 字节

C:\WINDOWS\system32\winscok.dll 41120 字节

2、从D开始,判断可用磁盘(Z),生成sxs.exe 和autorun.inf 。

3、添加启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


SoundMam = REG_SZ, "C:\windows\system32\SVOHOST.exe"

3、修改注册表,保证U盘自动运行:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


NoDriveTypeAutoRun修改为 REG_DWORD, 189

4、%Systemroot%system32释放noruns.reg。为:

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd

????

5、尝试关闭:

sc.exe
cmd.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

6、关闭窗口:

QQKav
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
网镖
木马
噬菌体
删除

7、禁用服务:

stop sharedaccess
stop KVWSC
config KVWSC start= disabled
stop KVSrvXP
config KVSrvXP start= disabled
stop kavsvc
config kavsvc start= disabled
config RsRavMon start= disabled
stop RsCCenter
config RsCCenter start= disabled
stop RsRavMon

8、删除注册表启动项(如果有):

Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive
KAVPersonal50
SVCHOXT
NTdhcp
Winhoxt
yassistse

9、查找互斥体“111111111”,如不存在则释放资源dllfile(winscok.dll)。

10、创建钩子(Hook):WH_KEYBOARD、WH_MOUSE、WH_CALLWNDPROC。

11、检测QQ.exe启动,并将winscok.dll注入。并获得QQ绝对路径,删除npkcrypt.sys。

12、记录QQ帐号密码后,发送至*****@tom.comhttp://www.ctv163.com/alexa/Images/key.asp

密码邮箱都已失效。

13、每隔0.8秒查找"瑞星提示"窗口,并往"是(&Y)"发送BM_CLICK。

14、解密病毒体内字符串,发现一些链接,但测试时未有网络行为:

堆栈 ss:[0012FDE4]=00DE0040, (ASCII "http://www.ctv163.com/")
edx=004057EA (sxs_unpa.004057EA), ASCII "lqrs>*)tsr(`ps757+eli*"

堆栈 ss:[0012FDDC]=00DE00A8, (ASCII "http://www.677977.com/")
edx=0040580A (sxs_unpa.0040580A), ASCII "lqrs>*)tsr(532?43+eli*"

http://update.cd321.net/sie.txt

http://update.cd321.net/hie.txt

dqhx1.txt

…………

15、每隔一段时间会检测自身启动项,并在可用磁盘建立病毒附件。

16、还有其他小细节,不详细写了:-)


解决方法:

Empire CMS,phome.net

相关文章

    无相关信息

文章评论

共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面